Zyxel Firewall Network Address Translation [NAT] - Конфигуриране на 1:1 NAT и много 1:1 NAT на Zyxel Firewall USGFLEX/ATP/VPN

Създаден - Обновено
Serhii Boiarynov
Print Friendly and PDF
Имате още въпроси? Подаване на заявка

Важно известие:
Уважаеми клиенти, моля, имайте предвид, че използваме машинен превод, за да предоставяме статии на вашия местен език. Възможно е не всички текстове да бъдат преведени точно. Ако има въпроси или несъответствия относно точността на информацията в преведената версия, моля, прегледайте оригиналната статия тук: Оригинална версия

Преводът на мрежови адреси (NAT) е основна технология в мрежите, която позволява съпоставянето на частни IP адреси с публични IP адреси. Един специфичен вид NAT е 1:1 NAT, известен също като статичен NAT. Този метод съпоставя един частен IP адрес с един публичен IP адрес, като гарантира, че всеки частен адрес има уникален и последователен публичен аналог. Ето някои реални сценарии, при които 1:1 NAT е особено полезен:

Разбиране на 1:1 NAT: реални приложения

1:1 NAT, или статичен NAT, съпоставя един частен IP адрес с един публичен IP адрес. Ето някои реални приложения:

  1. Хостинг сървъри: Уеб сървърите и сървърите за електронна поща в частните мрежи се нуждаят от публичен достъп. 1:1 NAT съпоставя частни IP адреси с публични IP адреси, като осигурява безпроблемен достъп.
  2. Отдалечен достъп: Служителите могат да имат достъп до вътрешни ресурси като отдалечен работен плот и VPN сървъри чрез публични IP адреси, картографирани към техните частни аналози.
  3. Конфигурация на DMZ: Услугите, насочени към външни лица в DMZ, използват 1:1 NAT за публичен достъп, като същевременно защитават вътрешните мрежи.
  4. Миграция на мрежата: По време на прехода на IP схеми 1:1 NAT поддържа достъпността на услугите.
  5. Сигурност на устройствата: Критичните устройства използват 1:1 NAT за сигурен достъп до управлението, без да разкриват частни IP адреси.

Конфигуриране на NAT 1:1

Виртуалният сървър се използва най-често и се използва, когато искате да направите вътрешния сървър достъпен за публична мрежа извън устройството Zyxel. На видеото в линка можете да видите как се извършва конфигурацията на предишната версия на защитната стена. Интерфейсът е различен, но процесът на конфигуриране не се е променил много.

Създаване на правило NAT 1 към 1
  • Влезте в WebGui на устройството
  • Навигирайте до
Configuration > Network > NAT
  • Създайте ново правило, като щракнете върху бутона "Add" (Добавяне)
  • Посочете името на правилото
  • Изберете типа на съпоставяне на портовете на "NAT 1:1"

Правило за картографиране за 1:1 NAT

Входящ интерфейс - интерфейсът, от който идва трафикът

IP адрес на източника - откъдето се свързват потребителите (напр. доверени IP адреси) Външен IP адрес - IP адресът на вашата WAN мрежа / изходящият интерфейс на защитната стена Вътрешен IP адрес - IP адресът на сървъра, към който искате да препратите портовете

  • Изберете входящия си интерфейс "wan".
  • Изходен IP адрес - "any"

Възможно е ръчно да зададете външните и вътрешните IP адреси. Въпреки това силно препоръчваме да използвате обекти за тази цел. Освен това при създаването на допълнителни политики за сигурност този подход ще бъде необходим. Създаването на обекти за NAT правилата опростява управлението, подобрява четимостта, намалява сложността, подобрява прилагането на политиката, позволява повторна употреба и мащабируемост, опростява архивирането и връщането назад и свежда до минимум грешките.

За да създадете обект за външния и вътрешния интерфейс, изберете опцията "Create new object" (Създаване на нов обект), разположена в горния ляв ъгъл на същия формуляр.

Създайте два обекта "Address" (Адрес)с тип"Interface IP" (Интерфейс IP) и "Host" (Домакин), дайте ясно име на обекта и посочете в единия обект адреса на вашия външен интерфейс, а във второто правило - локалния адрес на вашия уеб сървър.

Тип на картографиране на портове

any -всичкияттрафик ще бъде препратен

Service (Услуга) - Изберете обект на услуга (протокол) Service-Group (Група услуги) - Изберете обект на група услуги (група протоколи) Port (Порт) - Изберете порт, който трябва да бъде пренасочен

Портове - Изберете диапазон от портове, които трябва да бъдат пренасочени

  • Външен и вътрешен IP, изберете предварително създадените обекти

  • Тип на картографиране на портове - посочете "Port"

  • Тип на протокола "any"

  • Външните и вътрешните портове в нашия пример са едни и същи

Забележка:

  • Външният порт е портът, който външният потребител използва, за да се свърже със защитната стена в WAN.
  • Вътрешният порт е портът, който се пренасочва вътрешно в LAN.
  • Това може да бъде превод 1:1 (от порт 80 към 80) или от порт 80 към 8080, например

Връзка на NAT

NAT loopback се използва вътре в мрежата за достигане до вътрешния сървър чрез публичния IP адрес. Проверете дали е активирана обратната връзка на NAT и щракнете върху OK (позволява на потребителите, свързани към всеки интерфейс, също да използват правилото за NAT)

Добавете правило за защитна стена, за да разрешите NAT 1 към 1

  • Навигирайте до
Configuration > Security Policy > Policy Control

  • Създайте ново правило, като щракнете върху бутона "Добави".

  • Посочете името на правилото

  • В полето "От" задайте"WAN".

  • В полето "Към" задайте " "LAN"

  • В полето "Дестинация" изберете предварително създаден обект "WebServer".

  • Изберете предпочитаната от вас услуга или група услуги. В този случай е избран HTTP_8080.
  • Задайте "Action" (Действие), за да разрешите.
  • Щракнете върху бутона OK.

Конфигуриране на много 1:1 NAT

Функцията Many 1:1 NAT се използва за пренасочване на целия трафик от множество външни IP адреси (публични IP адреси) към множество вътрешни IP адреси (частни IP адреси) в рамките на определен обхват. Важно е да се отбележи, че тази функция пренасочва всички портове; изборът на портове не е наличен в конфигурацията Many 1:1 NAT.

Забележка! Частните и публичните диапазони трябва да имат еднакъв брой IP адреси.

Създаване на правилото Many 1:1 NAT

  • Влезте в WebGui на устройството
  • Навигирайте до
Configuration > Network > NAT
  • Създайте ново правило, като щракнете върху бутона "Add" (Добавяне)
  • Посочете името на правилото
  • Изберете типа на съпоставяне на портовете на "NAT 1:1"

Правило за картографиране за много 1:1 NAT

  • Входящ интерфейс - интерфейсът, от който идва трафикът (обикновено wan1 (или wan1_PPPoE))
  • IP адрес на източника - откъдето се свързват потребителите (напр. доверени IP адреси)
  • Външна IP подмрежа/обхват - обхватът от IP адреси на вашия WAN/изходящ интерфейс на защитната стена (разрешени са само обхвати и подмрежи - не и обекти на хостове)
  • Internal IP Subnet/Range (Вътрешна IP подмрежа/обхват) - IP адресите на сървъра, към който искате да препратите публичните IP адреси
  • Тип на картографиране на портове
  • всякакъв - целият трафик ще бъде пренасочен (имайте предвид, че функцията Many 1:1 NAT ще пренасочи само "ВСЕКИ трафик")
  • NAT Loopback - NAT loopback позволява на потребителите да се свързват с публичните IP адреси, когато се намират зад защитната стена.

Създаване на правило за контрол на политиката

Като последна стъпка трябва да създадем правило за контрол на политиката, за да позволим преминаването на трафика към сървъра.

Следвайте следните стъпки:

Go to the Configuration > Security Policy > Policy Control
  • Натиснете бутона "Add" (Добавяне), за да въведете ново правило.
  • Посочете име на правилото за контрол на политиката.
  • Задайте От "WAN" на"LAN".
  • Вмъкнете обекта с IP адреса на вашия сървър като "Destination" (Дестинация).
  • Изберете предпочитаната от вас"Услуга" или"Група услуги". В този случай изберете"HTTP_8080".
  • Задайте"Action" (Действие) на"allow" (Разрешаване).
  • Щракнете върху бутона "OK", за да запазите правилото.

Статии в този раздел

Вижте още
Беше ли полезна тази статия?
15 от 30 считат материала за полезен
Споделяне